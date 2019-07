«Sauvegardez vos instants les plus précieux là où c’est le plus sûr: chez vous, à la maison. En Suisse.» Le slogan du géant Swisscom en a pris un sacré coup en cette fin de semaine. Comme l’a révélé le «Tages-Anzeiger» vendredi, des centaines de clients du géant bleu ont perdu tout ou partie de leurs données personnelles hébergées dans le service de stockage en ligne MyCloud, le fameux nuage. Photos de vacances? Attestations ou documents importants? Littéralement envolés dans les limbes numériques.

L’incident donnera des arguments à la concurrence internationale, comme Dropbox, Google Drive ou encore l’iCloud d’Apple. Et pour Swisscom c’est un nouveau dégât d’image. En février 2018, l’opérateur subissait le vol des données de 800'000 de ses utilisateurs. Noms, adresses, dates de naissance et numéros de téléphone avaient été dérobés par des malfrats qui n’ont toujours pas été identifiés.

Comment cela a-t-il pu se produire au pays de la technologie de pointe? Solange Ghernaouti, professeure à l’Université de Lausanne et experte internationale en cybersécurité, a un avis bien tranché sur la question. Selon elle, on ne peut plus faire comme si nous ne savions pas que le numérique n’était pas fiable. Interview.

Qu’est-ce que ce genre d’incident dit de notre ère numérique?

Le problème principal lié à l’usage du cloud que cela révèle est relatif au fait que le propriétaire des données n’a pas le contrôle de l’infrastructure informatique qu’il utilise. Il ne la possède pas et ne peut la gérer. On ne peut gérer, contrôler, sécuriser que ce que l’on possède… MyCloud n’est pas «mon cloud».

Quelles conséquences faut-il en tirer?

L’usager doit faire confiance à un prestataire externe sans pour autant avoir les moyens d’obtenir des garanties de sécurité. C’est une situation similaire à celle de confier les clés de votre domicile à quelqu’un pour venir arroser vos plantes, sans garantie qu’il ne les donnera pas à un tiers, qu’il ne les perdra pas ou qu’il ne profitera pas de vos valeurs à votre insu.

Quels conseils pratiques donnez-vous aux usagers?

Il faut se poser un certain nombre de questions. Est-ce que le stockage distant délégué à un tiers est vraiment nécessaire? N’est-il pas préférable de disposer de ses propres mémoires informatiques locales, dont on maîtrise les sauvegardes dupliquées sur plusieurs supports (disques durs, clés USB, etc.), éventuellement à plusieurs endroits, comme avant l’ère du cloud et du tout-réseau. Au final, a-t-on vraiment besoin du cloud (de n’importe quel fournisseur) pour stocker nos photos?

Le cloud, ce «coffre-fort» numérique, peut-on encore s’y fier?

En informatique, la notion de coffre-fort numérique est plus un abus de langage qu’une réalité de système inviolable. La robustesse des solutions, comme celle des coffres-forts, est variable selon le nombre de barrières sécuritaires implantées pour protéger l’infrastructure, le prix et les valeurs à protéger. La sécurité est toujours celle du maillon le plus faible. Des questions de coûts, de ressources, de complétude et de cohérence des solutions de sécurité font qu’il peut y avoir des incidents de sécurité liés à des erreurs ou à de la malveillance.

Se dirige-t-on, à terme, vers une dématérialisation totale de nos fichiers personnels?

C’est effectivement la tendance générale de la transition numérique, dont le moteur est l’économie de la donnée, moteur de croissance économique au service de l’optimisation des performances. Nous acceptons, sans la questionner, une gestion algorithmique généralisée de notre vie privée et professionnelle.

«Le gros problème, c’est l’absence de sanction»

La mésaventure rencontrée par Swisscom fait écho à la perte – fin 2018 – des données de 1000 clients UBS inscrits sur une application de coffre-fort électronique. «Il faut travailler pour que cela ne se reproduise pas, réagit Ruedi Noser (PLR/ZH). Mais je ne pense pas que ces cas soient dommageables pour l’image sécuritaire de la Suisse. Il y a des problèmes partout, il suffit de penser à Facebook.»

Pour l’ex-conseiller national Jean Christophe Schwaab (PS/VD), c’est surtout l’absence de sanction et d’obligation d’annonce qui écorne cette image. «Comme il y a de plus en plus de données sauvegardées, il y aura de plus en plus de pertes. Tant que les entreprises ne risquent rien, si ce n’est d’avoir mauvaise presse pendant deux jours, elles n’ont pas de raison de perfectionner leur sécurité.» Il aimerait introduire les plaintes civiles collectives. «Une procédure à titre individuel, c’est cher pour dédommager la perte de quelques souvenirs, mais si 4000 personnes lésées se mettent ensemble, ça change tout.»

Selon Fathi Derder (PLR/VD), la Suisse ne risque pas de voir pâlir son image de coffre-fort numérique, «car elle ne fait rien pour en devenir un». Dans une motion qu’il vient de déposer, il milite pour que le pays se dote de sa propre autorité numérique. «Cela permettrait non seulement de maintenir notre souveraineté dans un domaine sur lequel l’ensemble de notre société repose, mais cela rendrait la Suisse attractive et concurrentielle au niveau international.»Florent Quiquerez